Importante sentenza emessa dalla Corte di Giustizia dell’Unione europea nei confronti di Facebook: da oggi, infatti, anche un’Autorità nazionale per la privacy potrà fare causa al colosso dei social network in caso di violazione della direttiva sulla protezione dei dati personali degli utenti. Fino a questo momento, infatti, solo il Garante irlandese, Paese dove l’azienda ha la sua sede legale europea, poteva intervenire su vicende legate alla privacy, in quanto è Facebook Ireland a risultare titolare del trattamento per i servizi Facebook nell’UE.
CGUE contro Facebook
Nella sua sentenza, pronunciata in Grande Sezione, la Corte precisa i poteri delle autorità nazionali di controllo nell’ambito dell’RGPD. In un contenzioso che vedeva l’Autorità belga per la protezione dei dati contro Facebook Irlanda, Facebook Belgio e Facebook Inc. per aver raccolto informazioni attraverso i cookie, in violazione della direttiva, la Corte di giustizia dell’Unione europea (CGUE) di fatto interviene alle radici della questione della giurisdizione e stabilisce quanto segue:
In presenza di determinate condizioni, un’autorità nazionale di controllo può esercitare il suo potere di intentare un’azione dinanzi ad un giudice di uno Stato membro in caso di presunta violazione dell’RGPD, pur non essendo l’autorità capofila per tale trattamento.
La Corte ha dichiarato che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro. La Corte UE ha però precisato che l’esercizio di tale potere presuppone che l’RGPD sia applicabile.
Nel caso di specie, poiché le attività dello stabilimento del gruppo Facebook situato in Belgio sono inscindibilmente connesse al trattamento dei dati personali in esame nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland per quanto riguarda il territorio dell’Unione, tale trattamento è effettuato “nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento”, e, pertanto, rientra effettivamente nell’ambito di applicazione dell’RGPD e di quel quadro normativo al suo interno legato allo Sportello Unico Autorità Garante EU approvato nel 2018 dal Gruppo dei Garanti UE.